Im Alltag, und gerade beim Versand von Unterlagen, muss es oft schnell gehen. Hier kommt es immer noch häufig vor, dass das Fax als Übertragungsmedium genutzt wird. Jedoch ist dem Versender nicht bewusst, wo das Faxgerät vom Empfänger steht oder wer Zugriff auf das Gerät hat – das ist auch ein datenschutzrechtliches Risiko.
Wie man mit diesen Risiken umgeht, erläutert Marco Eck, Berater Datenschutz bei der Curacon GmbH Wirtschaftsprüfungsgesellschaft, in seinem Beitrag.
WeiterlesenJetzt ist wieder die Zeit der Zeltlager und Ferienfreizeiten – und damit wird eine Klassikerfrage des Datenschutzes wieder sehr aktuell: Was ist eigentlich erlaubt bei Fotos, auf denen Kinder und Jugendliche zu sehen sind? Unter welchen Bedingungen darf was fotografiert werden, und wo und wie dürfen diese Bilder dann veröffentlicht werden?
Immer noch ist es oft Standard, einfach ein Ankreuzfeld auf eine Anmeldung zu packen, mit dem die Eltern in alles einwilligen, was mit Fotos zu tun hat, und dann zu glauben, dass damit auch der Datenschutz abgehakt ist. Tatsächlich braucht es etwas mehr – vor allem ein Verständnis dafür, dass das Thema kein Selbstzweck ist und im besten Fall sogar eine medienpädagogische Chance darstellt. Daher liefert dieser Artikel auch keine fertigen Formulare – sondern Grundlagen für das Lagerteam für eine Beschäftigung mit dem Thema Datenschutz bei Fotos: Datenschutz als Haltung aus Verantwortung vor den anvertrauten Kindern und Jugendlichen – nicht als bürokratische Übung.
(Der Artikel aktualisiert meinen 2018 im BDKJ-Blog »Digitale Lebenswelten« veröffentlichten Beitrag.)
WeiterlesenDie Webseite einer Organisation, insbesondere im Gesundheits- und Sozialwesen, wo häufig die besonderen Vorschriften der kirchlichen Datenschutzgesetze gelten, ist oftmals die erste Anlaufstelle für Personen, die Informationen zu den durch die Organisation erbrachten Leistungen suchen. Häufig handelt es sich hier um besonders sensible Leistungsbereiche wie Schwangeren-, Sucht- und Erziehungsberatung oder sogar Online-Beratungsangebote. In der Praxis zeigt sich zudem, dass viele Verantwortliche gar nicht vollständig wissen, welche Dienste auf der Webseite integriert wurden, da jeder Bereich hier seine eigenen Präferenzen hat und am Ende ein wildes Durcheinander der Datenverarbeitung herrscht.
Ein Beitrag von David Große Dütting, Senior-Berater Datenschutz bei der Curacon GmbH Wirtschaftsprüfungsgesellschaft. Sein Beitrag zur datenschutzkonformen Gestaltung von Webseiten basiert auf seinem Vortrag bei der Tagung »Drei Jahre Gesetz über den kirchlichen Datenschutz« der nordrhein-westfälischen Caritasverbände und der Curacon.
WeiterlesenDa hat die EU-Kommission fast eine Punktlandung hingelegt: Vor dem Auslaufen der Brexit-Übergangsregelung zum Datentransfer ins Vereinigte Königreich kam am Montag der Angemessenheitsbeschluss – das UK ist jetzt ein sicheres Drittland.
Damit ist auch eine unschöne Hängepartie vermieden, die sich die kirchlichen Gesetzgeber teilweise selbst eingebrockt haben. (Spoiler: Wie immer, wenn’s um Drittländer geht, sind es die Katholik*innen, die sich ein Bein gestellt haben.)
WeiterlesenIm vierten Jahr seiner Geltung geht es beim KDG und seiner Umsetzung in die Details – das zeigte die von Curacon und den nordrhein-westfälischen Caritasverbänden organisierte Tagung zum dritten Geburtstag des Gesetzes über den kirchlichen Datenschutz am vergangenen Freitag.
Schwerpunkt waren alltägliche, aber komplizierte Themen: Der Umgang mit Auskunftsersuchen, Auftragsverarbeitung, Schadensersatzansprüche, Datenschutzfolgenabschätzungen und Compliance. Zwei Produkt-Vorstellungen – ein KDG-Compliance-Tool der GDD und ein Datenschutzfolgenabschätzungstool der Curacon – standen zudem auf der Tagesordnung. Den Blick aus den Niederungen der Praxis weitete zum Abschluss ein Vortrag des Vorsitzenden Richters am Interdiözesanen Datenschutzgericht, Bernhard Fessler.
WeiterlesenNach wie vor machen Datenübertragungen in die USA nach dem Kippen des Privacy Shields Probleme. Eine wirkliche Lösung gibt es dafür noch nicht, und wenn überhaupt, schärfen die Datenschutzaufsichten ihren Umgang damit gerade an – zuletzt hatte der rheinland-pfälzische Datenschutzbeauftragte unter dem Label »Informationsoffensive« mit dem Zaunpfahl gewunken.
Der Europäische Datenschutzausschuss interpretiert die in Art. 49 DSGVO festgelegten »Ausnahmen für bestimmte Fälle« recht eng (allerdings nicht klar sauber belegt). Nun wird nach dem »Europäischen Datenschutztag« am 28. Januar diskutiert, ob es vielleicht doch weniger eng geht: Dort hatte der EuGH-Richter Thomas von Danwitz, der außerdem Berichterstatter bei Schrems II war, geäußert, dass die Ausnahmen aus Art. 49 noch nicht genug »ausgelotet« seien und auch weniger restriktiv ausgelegt werden könnten.
Diese Äußerung hat eine juristische Debatte ausgelöst. Stephan Hansen-Oest schlüsselt Schritt für Schritt in seinem Blog auf, worum es geht und wie sich eine weniger restriktive Auslegung und damit eine vereinfachte Datenübertragung in die USA rechtfertigen lässt. Für Anwender*innen der kirchlichen Datenschutzgesetze stellt sich damit natürlich die Frage: Können wir das auch?
WeiterlesenFür viel Spott hat diese Woche eine Orientierungshilfe der bremischen Datenschutzaufsicht gesorgt: »Telefax ist nicht Datenschutz konform« heißt es dort. Die Behörde kommt zu dem Schluss, dass Faxe deshalb unsicher sind, weil sie nicht mehr über exklusive Telefonleitungen von Gerät zu Gerät geschickt werden und oft in E-Mails umgewandelt werden – damit seien sie mit E-Mails gleichgestellt.
Insbesondere sei die Übertragung besonderer Kategorien personenbezogener Daten unzulässig – eine Rechtsauffassung, die in Medizin und Justiz viele in die Verzweiflung treiben dürfte. Die Ansicht der Aufsicht ist aber keineswegs herrschende Meinung – und insbesondere im kirchlichen Datenschutzrecht gibt es explizite Regelungen für Menschen, die das Faxen nicht lassen können.
WeiterlesenEine Frage darf bei keinem Datenschutz-Seminar mit Bildungsträgern fehlen: Wie ist das eigentlich mit Teilnehmer*innen-Listen – dürfen die noch geführt und verteilt werden? Solche Listen sind praktisch – vor der Veranstaltung, um Fahrgemeinschaften zu organisieren, währenddessen, um sich die Namen zu merken, und hinterher, um in Kontakt zu bleiben. Leider sieht man es vielen personenbezogenen Daten nicht an, wie schutzbedürftig sie sind.
Einen besonders drastischen Fall hat die Diözesandatenschutzbeauftragte für die Südwest-Bistümer in ihrem letzten Bericht geschildert, bei dem gut gemeinter Datenaustausch ziemlich problematisch wurde. Dabei wäre es eigentlich recht einfach und unbürokratisch möglich, die Vorteile einer Teilnehmer*innen-Liste mit einem angemessenen Datenschutzniveau zu verbinden.
WeiterlesenE-Mail ist praktisch, quasi flächendeckend verfügbar, barrierearm, günstig – und leider nicht übermäßig gesichert. Zwar ist mittlerweile Transportverschlüsselung, also die Verschlüsselung von Server zu Server, Standard (und selbst da gibt’s Ausnahmen) – was aber in aller Regel fehlt, ist eine Ende-zu-Ende-Verschlüsselung, die sicherstellt, dass ausschließlich Senderin und Empfänger die Inhalte lesen können.
Das ist auch datenschutzrechtlich ein Problem – schließlich werden ständig personenbezogene Daten über E-Mail verschickt. Ist das überhaupt zulässig? Pauschal kann man kein grünes Licht geben – aber doch für einige E-Mails. Und selbst wenn die enthaltenen Daten zu sensibel für normale Mails sind, gibt es Wege.
WeiterlesenSchon länger war das Kirchliche Datenschutzmodell angekündigt – jetzt ist es da. Wie der Papst neue deutsche Bischöfe haben die kirchlichen Datenschutzaufsichten am Freitag um 12 Uhr das lange erwartete »KDM« veröffentlicht, das sich eng am Standard-Datenschutzmodell der staatlichen Aufsichten orientiert.
Mit dem KDM können Anforderungen der kirchlichen Datenschutzgesetze in technische und organisatorische Maßnahmen umgesetzt werden. »Wir sehen die Möglichkeit für unsere Arbeit als kirchliche Aufsichtsbehörden, Prüfungen standardisiert und damit auch nachvollziehbarer durchzuführen«, erklären die Sprecherin der Konferenz der Diözesandatenschutzbeauftragten, Ursula Becker-Rathmair, und der Beauftragte für den Datenschutz der EKD, Michael Jacob. Das KDM biete außerdem den kirchlichen Stellen und Einrichtungen »den großen Vorteil, selbst Datenschutz systematisch umzusetzen und damit für Fragen und Prüfungen der Datenschutzaufsichten gut gerüstet zu sein«, heißt es weiter. Als Einführung wurde außerdem eine dreiseitige Handreichung veröffentlicht, die die Zielsetzung und Methodik trotz der Kürze erstaunlich kompakt und verständlich auf den Punkt bringt.
Weiterlesen